繁体   English   中英

用户帐户设计和安全性

User account design and security

提示:本站收集StackOverFlow近2千万问答,支持中英文搜索,鼠标放在语句上弹窗显示对应的参考中文或英文, 本站还提供   中文繁体   英文版本   中英对照 版本,有任何建议请联系yoyou2525@163.com。

在开始之前,我使用Ruby on Rails和Devise gem进行用户身份验证。

嗨,我正在做一些关于帐户安全的研究,我发现了一篇关于该主题的博客帖子,但我再也找不到了。 我读到了一些关于制作登录系统的内容,你应该有一个用户模型,其中包含用户的用户名,加密密码和电子邮件。 您还应该拥有用户帐户的模型。 这包含其他一切。 用户拥有一个帐户。

我不知道我是否正确解释这个问题,因为我已经好几个月没看过这篇博文了,我丢失了我的书签。

有人可以解释我应该或不应该这样做的原因和原因。 我的申请涉及金钱,所以我需要用安全保护我的基地。

谢谢。

2 个回复

使用不同的模型来处理用户(即处理基本身份验证的模型),帐户可以给你一些加号(持有什么用户可以做的, 怎么样 ,...的所有信息模型):

  1. 使用暴露更高安全级别的辅助存储系统存储用户数据
  2. 限制用户对其他应用程序工件(模型,控制器等)的数据访问
  3. 使代码审查和安全审计更容易

我倾向于向用户模型添加个人信息(真实姓名,电话号码......),同时在帐户模型中公开有关用户的操作数据(昵称,生物......)。

那么,将这些模型分开是一个很好的架构决策,因为它们指的是不同的实体: 用户模型属于auth系统,而Account模型属于用户配置文件管理系统。 但这一切都取决于。 如果你的模型非常小(比如每个3-5个字段),你可能无法从这种分离中获得任何好处,但是额外的头痛。 但是,如果你的模型很大,比如说, 用户模型将被更频繁地使用 - 那么你应该考虑为了清晰度和性能原因而努力实现不同的模型。

1 用户没有帐户的游戏的 Firestore 安全性

我对文档中坚持让用户登录以进行身份​​验证感到困惑。 使用纸牌游戏应用程序,我希望用户能够轻松上手(无需登录)、找到要玩的游戏并玩游戏。 打牌时,每回合都会记录在 Firestore 中,并通知所有用户读取更改后的参数。 所以所有用户都可以读、写和更新。 即使我确实让用户登录,任何人都可以创建一个帐 ...

2 无用户帐户的 API 安全性

上周,有人自动化了我们的消息 API,向随机人员发送了 10,000 条消息。 我们计划通过 JWT 提供安全性,但我们没有强制用户身份验证系统。 我们考虑过使用 1 小时到期的令牌,但这感觉有点多余。 在这种情况下使用 JWT 的最佳方法是什么? 一个简单的公开 api 示例是- 将应用程序链 ...

3 用户帐户的PHP cookie和会话安全性

在研究了使用“记住我”功能进行安全登录的方法之后,我遇到了许多关于如何使其安全的相互矛盾的观点。 我希望创建的登录系统不需要高度安全,但我想选择一个安全简便的方法,我有两个问题。 应该存储在会话变量中以检查用户是否已登录,这只是用户名(或ID)。 如果它只是用户名,那么在用户发现他 ...

4 Bamboo Cloud agent的用户帐户安全性值得怀疑

使用Bamboo云代理时,在Windows上,您被指示让Bamboo Windows用户使用默认的已知密码: Atlassian1 。 它清楚地表明应该将此用户配置为拒绝远程登录。 但是,它仍然是一个具有相当权限的活跃Windows用户。 Bamboo的服务器(云)与已知端口中的机 ...

5 用户通过Facebook或Google登录时处理帐户安全性

所以我认为我遇到了一个安全问题,不确定如何处理。 我允许我的用户更改他们在我的网站上注册的电子邮件和密码。 对于这两个操作,他们应该输入当前密码(并使用令牌确认电子邮件)。 一切都很好,但是当用户完成社交登录后,他将没有密码可以输入。 我的第一个想法是,当用户没有注册密码时,仅跳 ...

8 改善创建用户帐户的Python CGI脚本的安全性

以下是用于创建用户帐户的CGI脚本的代码。 该脚本将检查是否使用了新帐户的用户名,如果未使用该用户名,则将创建一个文件,其中包含有关新用户的信息(即用户名和密码)。 以前,有人问过一个问题,就是要赋予此文件创建的CGI脚本某些特权(链接: 在Apache服务器上运行具有Sudo特权的Pyth ...

9 设计基于角色/用户的应用程序安全性

我相信你们中的许多人已经做到了这一点,并且正在寻找一些指导,以设计一个健壮的,可扩展的,可处理多个用户数据(行级)安全性的应用程序。 我们正在研究一种系统,在该系统中,用户(一些人充当个人,一些人作为较大的团体的一部分)将需要访问他们自己的数据以及其他个人和组织与他们共享的数据。 在某些 ...

10 RMI安全性和设计

我有一台允许RMI连接的服务器。 它在注册表上公开了一个用于远程调用的“服务器”对象,该对象具有方法“身份验证”。 如果成功,该方法将返回一个“用户”对象。 然后,客户端可以使用此用户对象来获取一些数据。 看起来像这样: RMIServer然后有一个方法: 此方法检查 ...

2014-12-01 10:28:54 1 61   java/ rmi
暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2022 STACKOOM.COM